年1月15日,F5威胁研究人员检测到一个针对易受攻击的PHPUnit系统的新运动(CVE--),该运动试图安装Internet中继聊天(IRC)机器人。这个名为Tuyul的机器人创建了一个比过去跟踪的僵尸网络还要小的僵尸网络。在2月中旬的最后一次检查中,它由大约个目标系统组成。它比其他僵尸网络小得多,其他僵尸网络的范围从每天大约个受感染系统到每天使用的40,多个活动系统。1个主要发现
Tuyul似乎是新的。我们观察到的峰值大小在IRC通道中有个受害系统。Bot根据其功能以多种编程语言编写。2Tuyul用Perl编写。这与我们通常看到的情况不同,通常IRC机器人是用PHP或Python编写的。3该僵尸网络可能存在印度尼西亚语归属。我们根据一些线索进行了评估,包括时区,僵尸网络名称,使用的管理员昵称和存储库服务器等。有关详细信息,请参见本文的“可能的归因”部分。我们继续看到该机器人正在积极研究中,并且我们希望它会继续增长。F5研究人员将继续使用该僵尸网络,并将报告将来的发现。技术细节
首先,我们讨论恶意软件本身的一些详细信息,然后讨论攻击者网络的组成。恶意软件
威胁参与者使用罕见的漏洞来接管受害者的服务器。该恶意软件专门搜索未修补的PHPUnit实例,PHPUnit是PHP编程语言的单元测试框架。它专门利用了CVE--,该漏洞使攻击者能够在服务器上注入任意PHP代码。
通过目睹机器人对机器人主控发送的pwd(打印工作目录)shell命令的响应,我们可以确认这是唯一针对的漏洞。
攻击者网络的组成
我们能够确认威胁演员与Tuyul一起使用的两个注册域: